Η εξασφάλιση της σωστής ασφάλειας των διαχειριζόμενων ταυτότητας που έχουν διαχειριστεί από τους χρήστες στο Azure περιλαμβάνει αρκετές βασικές στρατηγικές:
1. Εφαρμόστε ένα κλιμακωτό μοντέλο διαχείρισης: Βεβαιωθείτε ότι οι λογαριασμοί χρηστών μπορούν μόνο να έχουν πρόσβαση σε διαχειριζόμενες ταυτότητες με παρόμοια δικαιώματα. Αποφύγετε να επιτρέψετε στους λογαριασμούς χαμηλότερου επιπέδου να αποκτήσουν πρόσβαση στις ταυτότητες με υψηλότερα προνόμια [2].
2. Διαχειριστείτε προσεκτικά τα δικαιώματα: Να είστε προσεκτικοί με τα δικαιώματα που χορηγούνται στις διαχειριζόμενες ταυτότητες. Ελέγξτε τακτικά αυτά τα δικαιώματα, ειδικά για υψηλότερα προνόμια. Εξετάστε τη δημιουργία εργαλείων για την αναφορά δικαιωμάτων υψηλής προτεραιότητας που έχουν ανατεθεί σε εφαρμογές και διαχειριζόμενες ταυτότητες [2].
3. Χρησιμοποιήστε τον έλεγχο πρόσβασης βάσει ρόλων (RBAC): Χρησιμοποιήστε το RBAC για να ελέγξετε ποιος μπορεί να αντιστοιχίσει ή να διαχειριστεί τις διαχειριζόμενες ταυτότητες. Αυτό βοηθά στην πρόληψη της μη εξουσιοδοτημένης πρόσβασης και διασφαλίζει ότι οι ταυτότητες χρησιμοποιούνται κατάλληλα [3].
4. Παρακολούθηση και προειδοποίηση: Ρύθμιση παρακολούθησης και ειδοποίησης για αλλαγές στις διαχειριζόμενες αναθέσεις ταυτότητας. Αυτό σας επιτρέπει να απαντήσετε γρήγορα σε μη εξουσιοδοτημένες αναθέσεις [3].
5. Ακολουθήστε την αρχή του ελάχιστου προνομίου: η επιχορήγηση διαχειρίζεται τις ταυτότητες μόνο τα απαραίτητα δικαιώματα για την εκτέλεση των καθηκόντων τους. Αποφύγετε τη χορήγηση περιττών δικαιωμάτων που θα μπορούσαν να αυξήσουν τον κίνδυνο ασφάλειας εάν η ταυτότητα παραβιαστεί [5].
6. Χειροκίνητα διαχειρισμένα ταυτότητες που έχουν διαχειριστεί από τους χρήστες: Δεδομένου ότι οι ταυτότητες που έχουν εκχωρήσει από το χρήστη έχουν ανεξάρτητο κύκλο ζωής, διαγράφουν με το χέρι όταν δεν χρειάζονται πλέον. Επίσης, βεβαιωθείτε ότι οι αναθέσεις ρόλων αφαιρούνται μετά τη διαγραφή των διαχειριζόμενων ταυτοτήτων για να αποφευχθεί η υπέρβαση των ορίων ανάθεσης ρόλων [5] [6].
7. Χρησιμοποιήστε ομάδες ασφαλείας και κλειδαριές πόρων: Εξετάστε τη χρήση ομάδων ασφαλείας για να μειώσετε τον αριθμό των αναθέσεων ρόλων που απαιτούνται. Οι κλειδαριές πόρων μπορούν επίσης να βοηθήσουν στην πρόληψη τυχαίας διαγραφής ή τροποποίησης κρίσιμων πόρων [3].
Αναφορές:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-manage-user-assigned-ganaged-identies
[2] https://practical365.com/heard-at-tec-mischief-gief-managed-attacking-ands-securing-azure-managed-identities/
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[4] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-to-configure- managed-identities
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[6] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-formed-identities/
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-ganaged-identies
[8] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation